MEDIUMCVE-2018-3712CVSS 6.5

सर्व में डायरेक्टरी ट्रैवर्सल (Directory Traversal)

Q: CVE-2018-3712 क्या है — serve में Directory Traversal?

`serve` सॉफ़्टवेयर में इस सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।

Q: क्या मैं serve में CVE-2018-3712 से प्रभावित हूं?

मुख्य रूप से `serve` प्रक्रिया द्वारा एक्सेस किए जा सकने वाले निर्देशिका संरचना और फ़ाइल नाम।

Q: क्या CVE-2018-3712 का सक्रिय रूप से शोषण किया जा रहा है?

`serve` प्रक्रिया की पहुंच को आवश्यक निर्देशिकाओं तक सीमित करें और इसे उन्नत विशेषाधिकारों के साथ न चलाएं।

प्लेटफ़ॉर्म

nodejs

घटक

serve

में ठीक किया गया

6.4.9

AI Confidence: highNVDEPSS 0.7%समीक्षित: मार्च 2026

NVD पर देखें

सहेजें

CVE-2018-3712, serve में एक डायरेक्टरी ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावर को डायरेक्टरी ट्री को ट्रैवर्स करने और प्रक्रिया चलाने वाले उपयोगकर्ता के पास मौजूद किसी भी डायरेक्टरी की सामग्री को सूचीबद्ध करने की अनुमति दे सकती है। यह भेद्यता serve के प्रभावित संस्करणों को प्रभावित करती है। संस्करण 6.4.9 में इस समस्या को ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

CVE-2018-3712 serve में, एक हमलावर URL-एन्कोडेड वर्णों %2e (डॉट) और %2f (स्लैश) में हेरफेर करके, पथ प्रतिबंधों को बायपास करने और serve प्रक्रिया द्वारा एक्सेस किए जा सकने वाले निर्देशिकाओं की सामग्री तक पहुंचने की अनुमति देता है। यह अपर्याप्त इनपुट सत्यापन के कारण होता है। हालांकि यह भेद्यता व्यक्तिगत फ़ाइलों को सीधे पढ़ने की अनुमति नहीं देती है, लेकिन यह निर्देशिका सामग्री को सूचीबद्ध करने की अनुमति देती है, जिससे फ़ाइल सिस्टम संरचना और फ़ाइल नामों के बारे में संवेदनशील जानकारी का खुलासा हो सकता है। CVSS स्कोर 6.5 है, जो मध्यम जोखिम दर्शाता है। यह भेद्यता 6.4.9 से पहले के संस्करणों को प्रभावित करती है।

शोषण संदर्भ

एक हमलावर विशेष रूप से तैयार किए गए HTTP अनुरोधों को serve के एक कमजोर संस्करण को चलाने वाले सर्वर पर भेजकर इस भेद्यता का फायदा उठा सकता है। इन अनुरोधों में URL-एन्कोडेड अनुक्रम शामिल होंगे जो फ़ाइल सिस्टम में नेविगेट करने की अनुमति देते हैं। उदाहरण के लिए, %2e (डॉट) का बार-बार उपयोग पैरेंट निर्देशिकाओं में नेविगेट करने की अनुमति दे सकता है, जबकि %2f (स्लैश) सबडायरेक्टरी में नेविगेट करने की अनुमति दे सकता है। हमलावर तब serve प्रक्रिया द्वारा एक्सेस किए जा सकने वाले किसी भी निर्देशिका की सामग्री को सूचीबद्ध कर सकता है, जिससे फ़ाइल सिस्टम संरचना के बारे में जानकारी का खुलासा हो सकता है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

NextGuard10–15% अभी भी असुरक्षित

EPSS

0.68% (71% शतमक)

CVSS वेक्टर

प्रभावित सॉफ्टवेयर

घटकserve

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

—6.4.9

समयरेखा

प्रकाशित2018-07-27
संशोधित2023-11-08
EPSS अद्यतन2026-04-02

शमन और वर्कअराउंड

अनुशंसित समाधान serve को संस्करण 6.4.9 या बाद के संस्करण में अपडेट करना है। यह संस्करण अधिक मजबूत पथ सत्यापन को लागू करके इस भेद्यता को ठीक करता है। इस बीच, एक अस्थायी उपाय के रूप में, serve प्रक्रिया की पहुंच को आवश्यक निर्देशिकाओं तक सीमित करने और इसे उन्नत विशेषाधिकारों के साथ चलाने से बचने की सिफारिश की जाती है। संवेदनशील जानकारी के जोखिम को कम करने के लिए इस अपडेट को तुरंत लागू करना महत्वपूर्ण है। अपडेट सिस्टम अखंडता सुनिश्चित करने के लिए एक बुनियादी निवारक उपाय है।

कैसे ठीक करेंअनुवाद हो रहा है…

कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2018-3712 क्या है — serve में Directory Traversal?

serve सॉफ़्टवेयर में इस सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।

क्या मैं serve में CVE-2018-3712 से प्रभावित हूं?

मुख्य रूप से serve प्रक्रिया द्वारा एक्सेस किए जा सकने वाले निर्देशिका संरचना और फ़ाइल नाम।

serve में CVE-2018-3712 को कैसे ठीक करें?

नहीं, यह भेद्यता केवल निर्देशिका सामग्री को सूचीबद्ध करने की अनुमति देती है, व्यक्तिगत फ़ाइलों को पढ़ने की नहीं।

क्या CVE-2018-3712 का सक्रिय रूप से शोषण किया जा रहा है?

serve प्रक्रिया की पहुंच को आवश्यक निर्देशिकाओं तक सीमित करें और इसे उन्नत विशेषाधिकारों के साथ न चलाएं।

CVE-2018-3712 के लिए serve का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

आप आधिकारिक वेबसाइट या अपने ऑपरेटिंग सिस्टम के पैकेज रिपॉजिटरी से संस्करण 6.4.9 या बाद का संस्करण डाउनलोड कर सकते हैं।